本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理 Amazon Route 53 資源存取許可的概觀
每個 AWS 資源都由 AWS 帳戶擁有,而建立或存取資源的許可是由許可政策管理。
**注意**
*帳戶管理員* (或管理員使用者) 是具有管理員許可的使用者。如需管理員的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
授予許可時,您會決定誰取得這些許可、取得許可的資源,以及他們有權執行的動作。
如果使用者想要與 AWS 外部互動,則需要程式設計存取 AWS 管理主控台。授予程式設計存取權的方式取決於正在存取的使用者類型 AWS。
若要授予使用者程式設計存取權,請選擇下列其中一個選項。
****
| 哪個使用者需要程式設計存取權? | 到 | 根據 |
| --- | --- | --- |
| IAM | (建議) 使用主控台登入資料做為臨時登入資料,以簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/access-control-overview.html) |
| 人力資源身分 (IAM Identity Center 中管理的使用者) | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/access-control-overview.html) |
| IAM | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 遵循《IAM 使用者指南》中[將臨時登入資料與 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)搭配使用的指示。 |
| IAM | (不建議使用)使用長期登入資料來簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/access-control-overview.html) |
**Topics**
+ [Amazon Route 53 資源的 ARN](#access-control-resources)
+ [了解資源所有權](#access-control-owner)
+ [管理 資源的存取](#access-control-manage-access-intro)
+ [指定政策元素:資源、動作、效果和委託人](#access-control-specify-r53-actions)
+ [在政策中指定條件](#specifying-conditions)
## Amazon Route 53 資源的 ARN
Amazon Route 53 支援用於 DNS、運作狀態檢查和網域註冊的各種資源類型。在政策,您可以透過將 `*` 用於 ARN,授與或拒絕下列資源的存取:
+ 運作狀態檢查
+ 託管區域
+ 可重複使用的委派組
+ 資源記錄集變更批次的狀態 (API)
+ 流量政策 (流量流程)
+ 流量政策執行個體 (流量流程)
並不是所有 Route 53 資源都支援許可。您無法授與或拒絕以下資源的存取:
+ 網域
+ 個別記錄
+ 網域的標籤
+ 運作狀態檢查的標籤
+ 託管區域的標籤
Route 53 提供 API 動作來處理這每一種類型的資源。如需詳細資訊,請參閱 [Amazon Route 53 API 參考](https://docs.aws.amazon.com/Route53/latest/APIReference/)。如需為了授與或拒絕使用每個動作的許可而指定的動作和 ARN 清單,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
## 了解資源所有權
AWS 帳戶擁有在帳戶中建立的資源,無論誰建立資源。具體而言,資源擁有者是驗證資源建立請求的委託人實體 AWS 帳戶 (即根帳戶或 IAM 角色)。
下列範例說明其如何運作:
+ 如果您使用 AWS 帳戶的根帳戶登入資料來建立託管區域, AWS 您的帳戶即為資源的擁有者。
+ 如果您在 AWS 帳戶中建立使用者,並將建立託管區域的許可授予該使用者,則使用者可以建立託管區域。但是您的 AWS 帳戶 (也是該使用者所屬的帳戶) 擁有該託管區域資源。
+ 如果您在 AWS 帳戶中建立具有建立託管區域許可的 IAM 角色,則任何可以擔任該角色的人都可以建立託管區域。該角色所屬 AWS 的帳戶擁有託管區域資源。
## 管理 資源的存取
*許可政策*指定何人可存取何物。本節說明用來為 Amazon Route 53 建立許可政策的選項。如需 IAM 政策語法和說明的一般資訊,請參閱 *IAM 使用者指南*中的 [AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
連接至 IAM 身分的政策稱為*以身分為基礎*的政策 (IAM 政策),連接至資源的政策稱為*以資源為基礎*的政策。Route 53 僅支援以身分為基礎的政策 (IAM 政策)。
**Topics**
+ [身分類型政策 (IAM 政策)](#access-control-manage-access-intro-iam-policies)
+ [資源型政策](#access-control-manage-access-intro-resource-policies)
### 身分類型政策 (IAM 政策)
您可以將政策連接到 IAM 身分。例如,您可以執行下列動作:
+ **將許可政策連接至您帳戶中的使用者或群組** – 帳戶管理員可以使用與特定使用者相關聯的許可政策,來授與該使用者建立 Amazon Route 53 資源的許可。
+ **將許可政策連接至角色 (授予跨帳戶許可)** – 您可以將執行 Route 53 動作的許可授予由另一個 AWS 帳戶建立的使用者。若要這樣做,請將許可政策連接至 IAM 角色,然後允許其他帳戶中的使用者擔任該角色。以下範例說明如何對兩個 AWS 帳戶 (帳戶 A 和帳戶 B) 執行此操作:
1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接至該角色,來授予建立或存取帳戶 A 所擁有資源的許可。
1. 帳戶 A 管理員將信任政策連接至該角色。信任政策識別帳戶 B 做為可擔任該角色的委託人。
1. 然後,帳戶 B 管理員將擔任該角色的許可委派給帳戶 B 中的任何使用者或群組。這麼做可讓帳戶 B 中的使用者建立或存取帳戶 A 的資源。
如需如何將許可委派給另一個 AWS 帳戶中使用者的詳細資訊,請參閱《*IAM 使用者指南*》中的[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
以下範例政策可讓使用者執行 `CreateHostedZone` 動作,為任何 AWS 帳戶建立公有託管區域:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
如果您希望政策也套用至私有託管區域,您需要授與使用 Route 53 `AssociateVPCWithHostedZone` 動作和兩個 Amazon EC2 動作 (`DescribeVpcs` 和 `DescribeRegion`) 的許可,如下列範例所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeRegions"
],
"Resource": "*"
}
]
}
```
------
如需將政策連接至 Route 53 身分的詳細資訊,請參閱 [將以身分為基礎的政策 (IAM 政策) 用於 Amazon Route 53](access-control-managing-permissions.md)。如需使用者、群組、角色和許可的詳細資訊,請參閱 *IAM 使用者指南*中的[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
### 資源型政策
其他服務 (例如 Amazon S3) 也支援將許可政策連接到資源。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。Amazon Route 53 不支援將政策連接到資源。
## 指定政策元素:資源、動作、效果和委託人
Amazon Route 53 包含 API 動作 (請參閱[Amazon Route 53 API 參考](https://docs.aws.amazon.com/Route53/latest/APIReference/)),您可以在每個 Route 53 資源上使用這些動作 (請參閱 [Amazon Route 53 資源的 ARN](#access-control-resources))。您可以對使用者或聯合身分使用者授予執行任何或所有這些動作的許可。請注意,某些 API 動作 (例如註冊網域),需要執行多個動作的許可。
以下是基本的政策元素:
+ **資源** - 您使用 Amazon Resource Name (ARN) 識別欲套用政策的資源。如需詳細資訊,請參閱[Amazon Route 53 資源的 ARN](#access-control-resources)。
+ **動作**:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,根據指定的 `Effect`,`route53:CreateHostedZone` 許可會允許或拒絕使用者執行 Route 53 `CreateHostedZone` 動作。
+ **效果** - 您指定在使用者嘗試對指定資源執行動作時的效果 (允許或拒絕)。如果您不明確授與動作的存取權,將會隱含拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
+ **委託人**:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。Route 53 不支援資源型政策。
如需 IAM 政策語法和說明的詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
如需顯示所有 Route 53 API 操作與其適用資源的資料表,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
## 在政策中指定條件
當您授予許可時,您可以使用 IAM 政策語言指定政策生效時間。例如,建議只在特定日期之後套用政策。如需以政策語言指定條件的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
欲表示條件,您可以使用預先定義的條件金鑰。沒有 Route 53 特定的條件金鑰。不過,您可以視需要使用 AWS 各種條件索引鍵。如需 AWS 各種金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[適用於條件的金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。